Πολιτική Γνωστοποίησης Ευπαθειών

Τελευταία ενημέρωση: 5 Σεπτεμβρίου 2019

Το Kraken Security Labs διεξάγει τακτικά έρευνα σχετικά με την ασφάλεια των κοινώς χρησιμοποιούμενων εφαρμογών, υλικού και προϊόντων. Η έρευνα γίνεται για την εκπαίδευση και προστασία των τελικών χρηστών τέτοιων υπηρεσιών και προϊόντων. Αυτή η πολιτική περιγράφει πώς το Kraken Security Labs χειρίζεται την υπεύθυνη γνωστοποίηση ευπαθειών όταν ανακαλύπτουμε ευπάθειες ασφαλείας σε προϊόντα και υπηρεσίες τρίτων.

Το Kraken Security Labs θα ειδοποιήσει τον κατάλληλο προμηθευτή για ένα κενό ασφαλείας εντός του προϊόντος(ων) και/ή της υπηρεσίας(ών) του. Η πρώτη προσπάθεια επικοινωνίας θα γίνει μέσω οποιωνδήποτε κατάλληλων επαφών ή επίσημων μηχανισμών που αναφέρονται στην ιστοσελίδα του προμηθευτή. Εάν τέτοιες πληροφορίες επικοινωνίας δεν είναι αναρτημένες, το Kraken Security Labs θα καταβάλει κάθε δυνατή προσπάθεια να εντοπίσει ένα κατάλληλο μέσο επικοινωνίας. Μόλις βρεθεί ένας επίσημος ή κατάλληλος μηχανισμός επικοινωνίας, οι σχετικές πληροφορίες σχετικά με την ευπάθεια θα μεταδοθούν με ασφάλεια στον προμηθευτή.

Εάν ο προμηθευτής δεν αναγνωρίσει την αρχική ειδοποίηση εντός πέντε (5) εργάσιμων ημερών, το Kraken Security Labs θα ξεκινήσει μια δεύτερη επικοινωνία με τον προμηθευτή. Εάν το Kraken Security Labs εξαντλήσει όλα τα παραπάνω μέσα για να επικοινωνήσει με τον προμηθευτή, τότε το Kraken Security Labs μπορεί να εκδώσει μια δημόσια ανακοίνωση γνωστοποιώντας τα ευρήματά του δεκαπέντε (15) εργάσιμες ημέρες μετά την προσπάθεια αρχικής επικοινωνίας.

Εάν ληφθεί απάντηση από τον προμηθευτή εντός του παραπάνω περιγραφόμενου χρονικού πλαισίου, το Kraken Security Labs ζητά από τον προμηθευτή να καθορίσει ένα επιθυμητό χρονικό πλαίσιο για την αποκατάσταση. Το Kraken Security Labs θα επιτρέψει στον προμηθευτή έως ενενήντα (90) ημερολογιακές ημέρες για να αντιμετωπίσει την ευπάθεια με μια ενημέρωση κώδικα (patch). Στο τέλος της προθεσμίας ή νωρίτερα (εάν ειδοποιηθεί από τον προμηθευτή), εάν η ευπάθεια έχει διορθωθεί, ή εάν ο προμηθευτής δεν ανταποκρίνεται ή δεν μπορεί να παράσχει μια εύλογη δήλωση ως προς το γιατί η ευπάθεια δεν έχει διορθωθεί, το Kraken Security Labs θα δημοσιεύσει μια δημόσια διαθέσιμη ανακοίνωση που θα περιλαμβάνει συστάσεις μετριασμού σε μια προσπάθεια να προστατεύσει τους τελικούς χρήστες.

Το Kraken Security Labs θα καταβάλει κάθε δυνατή προσπάθεια να συνεργαστεί με τους προμηθευτές για να διασφαλίσει ότι κατανοούν τις τεχνικές λεπτομέρειες και τη σοβαρότητα ενός αναφερόμενου κενού ασφαλείας. Εάν ένας προμηθευτής προϊόντων δεν μπορεί, ή επιλέγει να μην, διορθώσει ένα συγκεκριμένο κενό ασφαλείας, το Kraken Security Labs μπορεί να προσφερθεί να συνεργαστεί με αυτόν τον προμηθευτή για να γνωστοποιήσει δημόσια το κενό με κάποιες αποτελεσματικές λύσεις.

Στην περίπτωση που το Kraken Security κρίνει σκόπιμο να ειδοποιήσει αμέσως το ευρύ κοινό για μια ευπάθεια λόγω του κινδύνου ή της ασφάλειας για τον τελικό χρήστη ενός προϊόντος ή υπηρεσίας, τότε το Kraken Security Labs θα ενημερώσει ταυτόχρονα τον προμηθευτή και το ευρύ κοινό για τα ευρήματά του. Στην επικοινωνία προς τον προμηθευτή, το Kraken Security Labs θα αναφέρει τους παράγοντες που χρησιμοποιήθηκαν για την απόφαση άμεσης δημοσίευσης των ευρημάτων του.